-
Junior Member
- Вес репутации
- 52
Разблокирован Trojan.Winlock, что дальше?
Всем доброго вечера.
Подхватил (спасибо супруге) смс-вымогателя с флешки. Разблокировал с помощью мобильного сайта Dr.Web.
Начал делать по пунктам то, что написано у вс в правилах - застрял в самом начале же: загрузиться в безопасном режиме не могу, даже после выполнения соотв. скрипта в AVZ.
Попробовал запустить лечилки в обычном режиме. CureIt не стартует вообще, а иногда вешает систему. Avira Antivir Removal Tool нашел пару скрытых файликов (каюсь, названия не запомнил) и удалил их, и больше ничего не видит. Kaspersky Virus Removal Tool сверх того нашел Trojan-Downloader.Java.Agent.ac и тоже его удалил.
Что делать дальше? Надо ли делать то, что описано в разделе "Диагностика" Правил, или пока надо суметь загразиться в безопасном режиме?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Надо лечиться с LiveCD при помощи AVPTool
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Вылечил Rootkit.Win32.TDSS.d, сейчас попробую в еще раз в безопасный режим уйти..
Добавлено через 1 час 17 минут
Так, прошу прощения за дезинформацию - плохо соображаю под утро без сна (
Докладываю: AVPTool нашел Rootkit.Win32.TDSS.d в System Memory, но вылечить или удалить НЕ СМОГ. Также он нашел Packed.Win32.Krap.w в C:\Windows\System32\vojxzw.dll - и вот его как раз он и удалил. Еще раз извините за нечеткость мышления.
Далее: Dr.Web LiveCD не загружается и вешает систему намертво ближе к концу загрузки. Загрузить удалось LiveDVD с Ubuntu, если это чем-то сможет помочь, но из-под него, очевидно, AVPTool не запустить. Других LiveCD у меня нет, но если ткнете носом куда следует - скачаю и попробую запустить.
Последний раз редактировалось kidd79; 06.02.2010 в 12:06.
Причина: Добавлено
-
На сайте Касперского есть LiveCD
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
-
-
Junior Member
- Вес репутации
- 52
LiveCD не понадобился.
Попробовал вариант с TDSSKiller.
Нашел два объекта в памяти и вылечил их, нашел зараженный файл (тот же, о котором я выше писал) и вылечил его на перезагрузке. Повторный запуск программы после перезагрузки ничего не находит.
Удалось перегрузиться в безопасном режиме. Сейчас прогоню свежий AVPTool по всей системе (3 HDD, может занять время), сделаю логи по правилам и выложу.
Добавлено через 5 часов 18 минут
Свежий AVPTool в безопасном режиме удалил еще 5 файлов и вылечил 2
Прежде чем продолжать, меня вот что смущает: сейчас компьютер в безопасном режиме без сетевых драйверов, соответственно, сети он не видит. После того, как я загружусь в нормальном режиме, сделаю диагностику и подключусь к сети для отправки логов, не выйдет ли так, что какие-то остатки вирусов в системе полезут в интернет за новыми зловредами?? Или я зря переживаю?
Последний раз редактировалось kidd79; 06.02.2010 в 17:56.
Причина: Добавлено
-
Сообщение от
kidd79
Свежий AVPTool в безопасном режиме удалил еще 5 файлов и вылечил 2
Это Вы правильно сделали, что просканировали AVPTool.
Сообщение от
kidd79
Прежде чем продолжать, меня вот что смущает: сейчас компьютер в безопасном режиме без сетевых драйверов, соответственно, сети он не видит. После того, как я загружусь в нормальном режиме, сделаю диагностику и подключусь к сети для отправки логов, не выйдет ли так, что какие-то остатки вирусов в системе полезут в интернет за новыми зловредами?? Или я зря переживаю?
Делайте логи, не переживайте. Только "не ходите по злачным местам"
-
-
Junior Member
- Вес репутации
- 52
-
Один остался, выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторить логи после перезагрузки.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
-
В логах чисто, что с проблемой?
-
-
Junior Member
- Вес репутации
- 52
Проблем не наблюдаю, просто страшно )))
Спасибо большое за помощь!
И еще вопрос (или надо отдельную тему заводить?): что делать с флешкой, с которой все началось?
-
Выполните скрипт
Код:
begin
// Блокировка автозапуска (0x1 + 0x4 + 0x8 + 0x10 + 0x40 + 0x80 - отключили все типа, кроме CD)
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
// Блокировка автозапуска (0x4) - заблокировали автозапуск на C:
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveAutoRun', 4);
end;
begin
DisableAutorun;
end.
Затем просканируйте флешку антивирусом.
-
-
Junior Member
- Вес репутации
- 52
Спасибо большое!
Первый ключ еще вчера добавил
Но не очень понятно: это будет работать для всех учетных записей на данной машине, включая те, которые будут созданы позже?
Добавлено через 2 часа 43 минуты
Кажется, я поторопился с "проблем не наблюдаю"
Под той учеткой, из-под которой проводилось лечение, все и правда в порядке. А вот под другой - есть проблема, не запускается Task Manager, говорит что-то в духе "Диспетчер задач отключен администратором". При этом еще раз проверившись в безопасном режиме свежим AVPTool'ом из под обеих учеток по очереди - ничего не нашел.
Последний раз редактировалось kidd79; 08.02.2010 в 21:41.
Причина: Уточнил текст ошибки
-
AVZ - Файл - Восст. системы., п.17 отметить и выполнить
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
PavelA
AVZ - Файл - Восст. системы., п.17 отметить и выполнить
Не помогло
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(6);
Executerepair(11);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Отпишитесь
-
-
Junior Member
- Вес репутации
- 52
Отлично, теперь ДЗ появился!
Вроде бы, больше проблем не наблюдаю.
Спасибо большое за помощь!